V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
robbielj
V2EX  ›  信息安全

两步验证反而更不安全的例子

  •  
  •   robbielj · 2014-11-01 08:09:36 +08:00 · 8092 次点击
    这是一个创建于 3435 天前的主题,其中的信息可能已经有所发展或是发生改变。
    当然是特例
    https://ello.co/gb/post/knOWk-qeTqfSpJ6f8-arCQ

    某人的两位instagram账号被黑了,原因是黑客社工了手机运营商,把绑定手机的来电转发设置给改了,然后重置密码让google打这个(绑定的)号码告知重置验证码。

    之前有人用语音信箱的漏洞也把两步验证跳过了,手机运营商这方面仍然是两步验证的最大弱点。大部分人不会去注意很多默认的服务设置。而且社工往往还更简单,客服怕得罪顾客。
    28 条回复    2014-11-01 23:57:03 +08:00
    BinbinWang
        1
    BinbinWang  
       2014-11-01 08:23:41 +08:00 via iPhone
    两步验证程序丢失 连dropbox都登陆不上了
    robbielj
        2
    robbielj  
    OP
       2014-11-01 08:26:13 +08:00
    @BinbinWang 可以用recovery code的,这点几乎所有提供两步验证的服务都一样。把它们存一份。
    coldwinds
        3
    coldwinds  
       2014-11-01 08:30:25 +08:00
    用email进行2步验证比较适合
    DoubleJo
        4
    DoubleJo  
       2014-11-01 08:39:35 +08:00
    SMS能不用就不用吧,最好是硬件OTP。
    dong3580
        5
    dong3580  
       2014-11-01 08:43:47 +08:00 via Android
    国内的不开通没有吧
    cxd44
        6
    cxd44  
       2014-11-01 08:53:23 +08:00
    最近gd丢失域名那么多,没二步验证的商家还真不敢用了。
    SharkIng
        7
    SharkIng  
       2014-11-01 09:01:17 +08:00
    唉,这么说来都会有风险的
    hjc4869
        8
    hjc4869  
       2014-11-01 09:07:13 +08:00
    AFAIK,MS账号修改密码需要两种二步验证信息,必须是邮箱+短信或者邮箱*2之类的。
    egen
        9
    egen  
       2014-11-01 10:42:39 +08:00
    2步验证用 google authenticator 比较安全
    ooxxcc
        10
    ooxxcc  
       2014-11-01 10:55:02 +08:00
    两步验证不应该是密码+验证器么,直接通过验证器(手机号)修改密码是什么鬼……这也太不靠谱了……
    9hills
        11
    9hills  
       2014-11-01 10:57:49 +08:00
    标准的两步验证需要两个,一个是TOKEN一个是PASSWORD。所以它的安全性最少不会比PASSWORD更差。。。
    kmvan
        12
    kmvan  
       2014-11-01 11:03:07 +08:00
    客服MM被攻略了吗?求详情
    Aquamarine
        13
    Aquamarine  
       2014-11-01 11:54:43 +08:00
    所以短信还是身份验证器保险
    PP
        14
    PP  
       2014-11-01 12:05:05 +08:00 via iPad
    标题逻辑错误,此例无法论证两步验证更不安全。攻击过程针对的是服务器端,直接或变相绕过了两步验证。
    crab
        15
    crab  
       2014-11-01 12:20:59 +08:00
    这是手机运营商问题。除了2步验证外,其他和手机有关的,一样会被攻破。
    wzxjohn
        16
    wzxjohn  
       2014-11-01 12:24:12 +08:00 via iPhone
    @crab 同意,大前提错误。就像我说的如果你能接触到手机本身或者像本例这样变相接触到手机本身,那么任何方法都没有安全可说。所以楼主的案例无法得出两步验证更不安全,只能说这种情况两步验证一样挡不住。
    sandideas
        17
    sandideas  
       2014-11-01 12:27:00 +08:00 via Android
    但是目前来说运营商可信度还是比较高的,而且就算找到漏洞也不会弄你的谷歌或者域名。要弄也网银支付宝之类的吧
    a154312237
        18
    a154312237  
       2014-11-01 13:43:46 +08:00
    验证器 或者像apple那样的 通过设备同意 应该还行吧
    fanzheng
        19
    fanzheng  
       2014-11-01 14:03:37 +08:00 via iPhone
    两步验证app用的authy
    momou
        20
    momou  
       2014-11-01 14:29:51 +08:00
    看来源,谷歌内部已经知道这事儿,应该很快会有解决办法吧。。。
    robbielj
        21
    robbielj  
    OP
       2014-11-01 16:04:55 +08:00
    @PP 不,我标题的意思并不是在论证2FA更不安全,只是说一个例子,一件事情,而且我也说了,这是特例。

    甭管是怎么绕过的,2FA在这里还是增加了可攻击的手段。如果他压根没有设置2FA,那么这情况八成不会发生(他提到都是用随机的长密码)。
    pimin
        22
    pimin  
       2014-11-01 16:25:14 +08:00 via iPhone
    @robbielj
    没有输入passwd的话连第二步验证都到不了吧?
    robbielj
        23
    robbielj  
    OP
       2014-11-01 16:37:51 +08:00
    @pimin 这里用的是重置密码的手段,基本的密码输入被绕过了。
    Delbert
        24
    Delbert  
       2014-11-01 20:59:28 +08:00
    @BinbinWang 我今年密码忘记,邮箱用的是自己已经扔掉的一个邮箱,最后发信到dropbox找回了密码,然后又重置了邮箱。
    Delbert
        25
    Delbert  
       2014-11-01 21:03:11 +08:00
    benjiam
        26
    benjiam  
       2014-11-01 23:02:55 +08:00 via Android
    社工了运营商,有这个前提的话,你社工了银行,银行系统也不安全
    Blackmailbox
        27
    Blackmailbox  
       2014-11-01 23:40:10 +08:00
    用身份验证器!打印备用码!
    用dropbox一定要把16位紧急验证码写下来!dropbox政策严格,就算你能改密码、验证邮箱,就算你证明了你是这个账号的拥有者,没有这个16位码 就是不让你登陆。血的教训啊!
    BlueFly
        28
    BlueFly  
       2014-11-01 23:57:03 +08:00
    @egen google authenticator已是各网站淘汰之列,Authy 更受欢迎。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2677 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 15:47 · PVG 23:47 · LAX 08:47 · JFK 11:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.